Início Sistema Ocepar Comunicação Informe Paraná Cooperativo Últimas Notícias GESTÃO: Primeiro evento da série Compliance Experience debate governança e privacidade de dados

 

 

cabecalho informe

GESTÃO: Primeiro evento da série Compliance Experience debate governança e privacidade de dados

Com o propósito de contribuir para a sustentabilidade das cooperativas do Paraná, o Sistema Ocepar deu início ao Compliance Experience, uma série de quatro eventos que vão apresentar as melhores práticas e experiências das organizações nos processos de integridade e conformidade de suas atividades. O primeiro encontro ocorreu na tarde desta terça-feira (01/09) e foi transmitido pelo canal da entidade no Youtube para mais de 200 participantes, entre profissionais de cooperativas do Paraná e também de outros estados. As atividades foram conduzidas pelo coordenador de gestão estratégica do Sescoop/PR, Alfredo Benedito Kugeratski Souza, e pela advogada Daniely Andressa da Silva.

Perenidade das cooperativas - Na abertura, a gerente de Desenvolvimento Cooperativo, Maria Emília Pereira, lembrou que a iniciativa integra o Programa de Compliance do Cooperativismo Paranaense, iniciado em 2019, e também faz parte do planejamento estratégico do setor. “O Sistema Ocepar tem se preocupado em executar ações e projetos visando atender demandas estratégicas, dentro das principais necessidades e preocupações do cooperativismo paranaense e o compliance e a gestão de risco são questões importantes a serem trabalhadas pois, dessa forma, também estaremos contribuindo para a perenidade e desenvolvimento das cooperativas”, afirmou.

Governança e privacidade de dados - O tema que abriu a série de encontros do Compliance Experience foi governança e privacidade de dados. A programação contou com a apresentação de duas palestras. A primeira tratou sobre “Melhores práticas de governança e conformidade com a Lei Geral de Proteção de Dados (LGPD)” e foi ministrada pelo advogado e especialista em Direito Digital, Fabrício da Mota Alves. Sócio do escritório Garcia de Souza Advogados e coordenador da área de Proteção de Dados, Tecnologia e Inovação, ele é o representante do Senado Federal no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, órgão que compõe a Autoridade Nacional de Proteção de Dados (ANPD). Depois, a diretora jurídica, de compliance e DPO da Cisco do Brasil e cofundadora da organização de pesquisa e orientação LGPD Acadêmico, Márcia Muniz, falou sobre “Governança de dados e desafios práticos na implementação dos Programas de Privacidade de Dados”.

LGPD - Sancionada em 14 de agosto de 2018, a LGPD regulamenta o uso de dados pessoais de clientes e usuários por empresas públicas e privadas. O início da vigência seria em 18 meses a partir de sua publicação. No dia 27 de dezembro de 2018, o governo federal editou a Medida Provisória (MP) 869, prevendo a criação da ANPD e alterando o início da vigência da lei para agosto de 2020. Na semana passada, dia 26 de agosto, na mais recente matéria legislativa que tramitou no Congresso Nacional sobre o tema, o Senado aprovou o Projeto de Lei de Conversão (PLV) 34/2020, originário da MP 959/2020, excluindo do texto a parte que previa mais um adiamento de vigência da LGPD, e a matéria foi encaminhada para sanção presidencial. Já a Lei 14.010, de 10 de junho de 2020, adiou de 1º de janeiro de 2021 para 1º de agosto de 2021 a vigência das sanções que a ANPD, ainda pendente de instalação, pode aplicar nos órgãos, entidades e empresas que lidam com o tratamento de dados.

Incertezas - Na avaliação do advogado Fabrício da Mota Alves, ainda existem muitas dúvidas em relação à lei, a começar sobre a data em que efetivamente ela entra em vigor. “A sociedade está se esforçando para abraçar essa legislação, mas nossos legisladores não estão nos ajudando. Há muitas incertezas e estamos num mar de dúvidas. Estamos tratando de conformidade, das necessidades do processo de adequação à lei e nem sabemos quando ela entra em vigor. Isso só gera uma dificuldade adicional”, afirmou. “Eu tenho uma visão técnica de que a LGPD vai vigorar a partir do dia em que o presidente da República sancionar o PLV que teve origem na MP 959, e o prazo condicional é 17 de setembro e, até lá, teremos a vigência provisória dessa lei”, enfatizou. “Com a sanção, a Medida Provisória naufraga de vez e aí entramos realmente com o cenário da vigência da LGPD. Mas isso não resolve a situação. Fica a dúvida, ela retroage ou não? É uma questão que todo mundo coloca e eu entendo que sim, retroage, e há insegurança jurídica nisso também. Na prática, eu trabalho com a hipótese de que, a partir da sanção, a lei realmente vai produzir seus efeitos”, acrescentou.

Autoridade - Alves também chamou a atenção para o fato do governo federal ainda não ter designado os membros da Autoridade Nacional de Proteção de Dados (ANPD), órgão que vai editar as normas e fiscalizar os procedimentos sobre a proteção de dados pessoais. Em seu entendimento, a forma como o processo está ocorrendo representa um problema. “Primeiro teria que vir a Autoridade, que regula, interpreta e aplica a lei. Trinta por cento dessa legislação depende de regulamentação e 100% de interpretação, o que deve ser feito pela ANPD. Depois, viria a entrada em vigor da lei e, por último, as penalidades. É um processo de responsabilidade pública. Infelizmente não é isso que está ocorrendo. A lei vai entrar em vigor de fato antes da Autoridade ser constituída. Se os diretores forem indicados nos próximos dias, eles deverão ser sabatinados somente no final de setembro e, mesmo que venham tomar posse, terão ainda um mundo de obrigações e funções a realizar. O fato é que temos que tomar uma atitude e partir para uma ação concreta. Nesse cenário de insegurança jurídica, é importante estabelecer prioridades, que devem ser baseadas em análises de risco e na verificação do que pode ser mais vulnerável dentro das nossas estruturas de funcionamento”.

Treinamento - Para ele, a adequação à LGPD deve começar pela capacitação dos funcionários. “Treinamento é fundamental. Para mim, é a fase zero do processo. É você preparar os seus colaboradores e a sua estrutura de pessoal para o que vem por aí. É preciso realizar uma conscientização interna, com base em informação, para se obter um nível adequado de conhecimento sobre o assunto. E, a partir daí, estabelecer o seu plano de prioridades. O momento agora é de priorização. É necessário começar de alguma forma e esse início deve ser feito com base em algum tipo de plano de ação emergencial”, disse.

Consultoria - Ainda de acordo com o palestrante, o investimento em capacitação também será relevante no momento de contratar consultorias, mesmo que seja em regime emergencial. “É bom que haja do seu lado pessoas preparadas para contratação desses serviços e, também, para questionar a qualidade desses serviços porque essa é uma outra realidade do mercado. Temos muitos prestadores de serviço mas nem todos estão preparados”, ressaltou o advogado. Ele também recomendou a contratação de consultorias com certificação, atestadas e com experiência demonstrada.

DPO - Alves orientou sobre outros aspectos importantes que devem ser observados em relação à LGPD, como a realização de um diagnóstico e o mapeamento de dados, a revisão documental para identificar as inconformidades relacionadas à lei, entre outros pontos. O especialista chamou ainda a atenção para a figura do encarregado de proteção de dados, o DPO (Data Protection Officer), na sigla em inglês. “A lei tornou obrigatório o DPO para todos que tratam dados pessoais, independente do seu porte ou faturamento, seja um ambulante, um empresário, um microempreendedor, empresário de pequeno porte ou uma multinacional. Todos devem ter um DPO, sem exceção. O Brasil tem que estar preparado para possuir a maior quantidade de DPOs do planeta. Isso é algo inevitável porque a lei obriga”, frisou.

Mapeamento - Dessa forma, ele destacou que as empresas devem atender de imediato a essa obrigatoriedade, embora a lei não ainda tenha especificado os critérios que devem ser seguidos para a escolha da pessoa que irá desempenhar a função do DPO, o que deverá ser melhor esclarecido no momento em que a ANPD regulamentar a legislação. Para Alves, esse é um exemplo do paradoxo existente na lei e uma demonstração de como as empresas devem agir diante desse quadro. “Nós temos que pegar os pontos da lei que têm eficácia plena e trabalhá-los. Colocar em standby aqueles que dependem de regulamentação para ter efeito e implementar uma visão conservadora sobre eles. E há ainda os itens com possibilidade de mudanças posteriores. É necessário mapear esses pontos da LGPD e trabalhar com essas realidades”, disse, ressaltando a importância do apoio da assessoria jurídica e da consultoria externa contratada pela empresa nesse processo.

Compartilhamento de experiência - Após a apresentação da palestra de Fabrício da Mota Alves, o evento prosseguiu com a participação de Márcia Muniz, que compartilhou sua experiência na implementação do Programa de Proteção de Dados na Cisco do Brasil. “Eu vejo esse trabalho como um desafio. Desafio para quem está no meio da jornada e mesmo para quem ainda nem a começou. Eu não conheço nenhuma empresa que esteja com sua jornada totalmente encerrada pois, como bem colocou o Fabrício, há vários pontos da LGPD que ainda dependem de regulamentação. Mas é importante, primeiro, nunca pensar que é tarde. A jornada é longa e cada dia que deixamos de começar, mais atrasados estaremos. Então, independentemente da fase que cada um esteja, o meu convite e o meu maior incentivo é para que iniciem de fato essa jornada”, afirmou.

Cronograma de prioridades - Márcia sugeriu estabelecer um cronograma de prioridades. “A primeira coisa que precisamos fazer é olhar para aquilo que já temos e verificar em que contexto estamos inseridos”, ressaltou. Ela disse que, embora atue numa empresa de origem americana, com presença global e que já se adaptou à legislação europeia, foi necessário levar em consideração também as demais legislações existentes no Brasil e trabalhar a questão cultural. “Os brasileiros não têm uma cultura de proteção e privacidade de dados. Hoje estou percebendo uma mudança de comportamento mas ainda temos um longo caminho a percorrer pois cultura a gente constrói”, complementou.

Alta liderança - A diretora da Cisco apontou ainda outros elementos importantes no processo de implantação de um Programa de Proteção de Dados, como envolver em primeiro lugar as pessoas que comandam a empresa. “Um pilar fundamental é o apoio da alta liderança, que deve ser informada sobre as necessidades de se implantar um programa, seus benefícios e impactos. A partir daí, pouco a pouco, isso irá cascatear para os demais níveis da organização”, afirmou.

Análise de fluxo de dados - Segundo Márcia, o passo seguinte é fazer uma análise de fluxo de dados. “É necessário mapear quase todos os dados que a companhia coleta e trata e identificar os gaps, os possíveis espaços para uma violação ou um vazamento de dados”, disse. Ela contou que fez esse trabalho por meio de 68 entrevistas e destacou a importância de iniciar o trabalho também com a participação do setor de Recursos Humanos, devido ao grande volume de dados que são compartilhados por essa área. Ela comentou ainda sobre a necessidade de formulação de uma política de privacidade, que deve ser preferencialmente disponibilizada por meio do website da companhia, juntamente com o contato do DPO.

Outras práticas - De acordo com a diretora da Cisco, outra prática que pode ser implantada é a nomeação de embaixadores de proteção de dados. “Onde houver um fluxo maior de dados, identificar a pessoa que conhece bem os procedimentos da área e tenha afinidade com a Lei Geral de Proteção de Dados para que seja então o seu porta voz com aquele setor”, disse. E, também, criar um Comitê de Privacidade. “Para mim, foi muito importante pois eu me reunia todos os meses com as áreas mais impactadas, como TI, RH, marketing e financeiro, para fazer a leitura do que já havia sido extraído das entrevistas e revisar as políticas. Por mais que você tenha uma área de proteção, um DPO, o compliance não é responsabilidade de uma pessoa só e um comitê ajuda a criar uma cultura na companhia”, destacou.

Próximos encontrosAo final, os palestrantes responderam às dúvidas dos participantes do evento, que foi encerrado pelo superintendente do Sescoop/PR, Leonardo Boesche. Os próximos encontros do Compliance Experience vão debater os temas Compliance e investigações internas, no dia 10 de setembro; A evolução dos programas de compliance em diversos setores, no dia 15 de setembro; e A importância da ética e do compliance para o futuro das organizações, no dia 22 de setembro. As inscrições podem ser feitas pelo link: https://bit.ly/2DmcKia.

 

Submit to FacebookSubmit to Google PlusSubmit to LinkedIn

Últimas Notícias